Wir haben die grundlegende dynamische Malware-Analyse mithilfe des Prozessmonitors behandelt, um Netzwerkverbindungen, von der Malware erzeugte Prozesse und andere wichtige Artefakte aufzudecken. Dies war Teil von TryHackMe Grundlegende dynamische Analyse
Notizen zur Computerforensik abrufen
Die Bedienelemente von ProcMon sind selbsterklärend. Die Beschriftungen im Screenshot zeigen einige der kritischen Bedienelemente der darunter sichtbaren Daten.
- Zeigt die Optionen „Öffnen“ und „Speichern“ an. Diese Optionen dienen zum Öffnen einer Datei, die ProcMon-Ereignisse enthält, oder zum Speichern der Ereignisse in einer unterstützten Datei.
- Zeigt die Option „Löschen“ an. Diese Option löscht alle Ereignisse, die derzeit von ProcMon angezeigt werden. Es ist gut, die Ereignisse zu löschen, sobald wir eine Malware-Probe von Interesse ausführen, um das Rauschen zu reduzieren.
- Zeigt die Filteroption an, die uns weitere Kontrolle über die im ProcMon-Fenster angezeigten Ereignisse gibt.
- Hierbei handelt es sich um Schalter zum Aktivieren bzw. Deaktivieren von Registrierungs-, Dateisystem-, Netzwerk-, Prozess-/Thread- und Profiling-Ereignissen.
Unter diesen Steuerelementen sehen wir von links nach rechts die Zeit, den Prozess, die Prozess-ID (PID), Ereignisname, Pfad, Ergebnis und Details der Aktivität. Wir können beobachten, dass Ereignisse in chronologischer Reihenfolge angezeigt werden. Im Allgemeinen zeigt ProcMon eine überwältigende Anzahl von Ereignissen an, die im System auftreten. Zur Vereinfachung der Analyse ist es ratsam, die Ereignisse auf diejenigen zu filtern, die für uns von Interesse sind.
ProcMon ermöglicht das einfache Filtern von Ereignissen direkt im Ereignisfenster. Wenn wir mit der rechten Maustaste auf die Prozessspalte des gewünschten Prozesses klicken, öffnet sich ein Popup-Menü. Im Popup-Menü können wir verschiedene Optionen sehen. Einige dieser Optionen beziehen sich auf das Filtern. Wenn wir beispielsweise die Option 'Explorer.EXE' einschließen, ProcMon zeigt nur Ereignisse mit dem Prozessnamen Explorer.EXE an. Wenn wir die Option wählen 'Explorer.EXE' ausschließen, wird Explorer.EXE von den Ergebnissen ausgeschlossen. Ebenso können wir mit der rechten Maustaste auf andere Spalten des Ereignisfensters klicken, um andere Optionen zu filtern.
Raumantworten
~Desktop\Samples\1.exe mit ProcMon. Dieses Beispiel stellt einige Netzwerkverbindungen her. Was ist die erste URL, über die eine Netzwerkverbindung hergestellt wird?Welcher Netzwerkvorgang wird für die oben genannte URL ausgeführt?
Wie lautet der Name und der vollständige Pfad des ersten von diesem Beispiel erstellten Prozesses?
~Desktop\samples\1.exe erstellt eine Datei im C:\ Verzeichnis. Wie lautet der Name und der vollständige Pfad dieser Datei?Was API wird zum Erstellen dieser Datei verwendet?
In Frage 1 der vorherigen Aufgabe haben wir eine URL identifiziert, zu der eine Netzwerkverbindung hergestellt wurde. Was API Anruf wurde verwendet, um diese Verbindung herzustellen?
Wir haben in der vorherigen Aufgabe festgestellt, dass die Aktivität der Probe nach einiger Zeit nachließ, so dass nicht mehr viel über die Probe berichtet wurde. Können Sie sich die API ruft auf und sieht nach, welcher API-Aufruf dafür verantwortlich sein könnte?
Wie lautet der Name des ersten Mutex, der vom Beispiel ~Desktop\samples\1.exe erstellt wird? Wenn der Name des Mutex Zahlen enthält, ersetzen Sie diese durch X.
Ist die Datei von einer bekannten Organisation signiert? Antworten Sie mit J für Ja und N für Nein.
Ist der Prozess im Speicher derselbe wie der Prozess auf der Festplatte? Antworten Sie mit J für Ja und mit N für Nein.
~Desktop\Samples\3.exe mit Regshot. Es wurde ein Registrierungswert hinzugefügt, der den Pfad des Beispiels im Format HKU\SXX-XX-XXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXX\ enthält. Wie lautet der Pfad dieses Werts nach dem hier genannten Format?Video-Komplettlösung
